Apelo: a Internet devia ser uma zona desmilitarizada

Qual é a diferença entre um míssil nuclear e malware?

A resposta não é difícil – o malware pode ter a mesma importância tática que um míssil, mas um míssil não pode ser usado para destruir o malware. Com as ferramentas certas, um míssil pode ser “desviado por malware”, mas nenhum tipo de poder de fogo pode acabar com o software malicioso a partir do momento em que este é ativado.

Ao contrário das armas tradicionais, o malware pode replicar-se indefinidamente. E enquanto um míssil pode ser controlado de alguma forma, o malware tem tendência para atacar indiscriminadamente: ninguém sabe quem é que vai ser prejudicado, nem que caminhos o malware poderá percorrer até chegar ao seu destino. Nos recantos insondáveis da rede, a partir do momento em que um black hat lança um programa malicioso para ganhar dinheiro fácil, tudo pode acontecer. É impossível calcular que efeito terá, o que será infectado por acidente, e pode até ser que o feitiço vire contra o feiticeiro, prejudicando os seus próprios criadores. Há uma probabilidade de cometermos erros em tudo aquilo que fazemos – e escrever códigos de programação, maliciosos ou não, não é exceção. Há vários exemplos deste tipo de “dano colateral” – falo de alguns num post anterior sobre as fortunas na Internet.

Pelo menos, alguns esforços conjuntos já têm sido feitos no combate aos cibercriminosos.

A indústria da segurança está apertando a fiscalização aos cibercriminosos, e grandes empresas como a Microsoft também já se estão envolvendo no assunto. Outras organizações, não-comerciais e intergovernamentais, estão também se juntando à causa. Os Governos estão entendendo que a Internet pode ser uma verdadeira “estrada para o Inferno”, e começam a tomar consciência da necessidade de fazer alguma coisa. Já é um progresso.

No entanto, estou mais preocupado com outra faceta da segurança na Internet. Os pequenos truques de um cibercriminoso podem ser insignificantes quando comparados com uma ciberguerra em grande escala. Sim, leram bem – uma guerra cibernética na Internet! É aqui que as coisas se complicam e se tornam muito mais obscuras.

Estes são os fatos.

Em primeiro lugar, os exércitos de diferentes países têm estado ocupados na criação de ciberunidades dedicadas e a “forjar” ciberarmas (a lista de exemplos inclui: o cibercomando dos EUA, Índia, Reino Unido, Alemanha, França, UE, NATO, China, Coreia do Sul e Coreia do Norte).

Em segundo lugar, os casos de espionagem industrial e os atos de sabotagem são do conhecimento geral (veja as notícias sobre ataques de alto nível, como o Stuxnet e o Duqu, que têm países por trás).

Em terceiro lugar, as notícias sobre ataques cuidadosamente planejados estão sendo reveladas a um ritmo alarmante (bem, todos temos uma noção de quem está por trás de tudo isso). Até um novo termo foi criado para descrever esta ameaça: Advanced Persistent Threat (APT).

Não resta dúvida de que isto é apenas a ponta do iceberg. Sempre que descobrimos um programa malicioso ao estilo do Stuxnet nos damos conta que:

  • O malware foi descoberto por causa de um erro ou por acidente.
  • O programa malicioso já se encontrava em várias redes há algum tempo – fazendo o quê, só podemos imaginar.
  • Muitas das funcionalidades técnicas do malware – e os objetivos do seu criador – continuam envolvidos numa rede de mistério.

Entendem onde quero chegar?

Claramente, estamos perante um barril de pólvora, estamos pondo em causa toda a base em que a Internet e todas as infraestruturas do mundo estão baseadas. As forças militares estão gradualmente transformando a Internet num enorme campo minado.  O simples pressionar de uma tecla pode, potencialmente, causar um caos tão grande que todos seriam afetados. Pressionar o botão errado pode fazer tudo parar bruscamente – não apenas os computadores. Poderia desencadear ações no mundo real, assim como no virtual – estações nucleares, talvez. Um conflito na rede poderia transformar-se rapidamente num conflito militar. Não é exagero os EUA compararem os ataques de hackers a uma invasão – claramente veem quais são as possíveis consequências. E quanto mais fundo analisarmos, mais assustador fica o cenário.

E piora. Esse malware, militarizado ou não, possui erros no código. Uma mosca pousou no teclado do programador, era sexta-feira à noite ou os testes não foram feitos corretamente – tudo pode acontecer. Um bug típico num software tradicional normalmente tem efeitos controlados – o sistema do computador pode colapsar ou uma turbina pode parar, ou, na pior das hipóteses, alguma coisa, em algum lugar, deixa de funcionar. Se estivermos falando de um míssil guiado convencional, este pode explodir no momento ou no lugar errado. Mas com a nova vaga de malware militar, um erro pode ter consequências verdadeiramente catastróficas. E se o código malicioso atingir não só o alvo mirado, mas também outros objetos similares em todo o mundo? Como distinguiria alvos reais de alvos não desejados? Se o malware tem como alvo uma estação de energia nuclear específica, mas acaba por atacar todas as estações de energia nuclear, o que é que pode acontecer? A Internet não tem fronteiras, e a maior parte das estações de energia são construídas com baixos padrões de segurança. O alvo pode ser só um, mas o número de potenciais vítimas pode ser muito maior – e em qualquer ponto do planeta.

Espero sinceramente que não ignorem estes alertas, como aconteceu no caso dos worms autopropulsionados e nos ataques dirigidos a projetos industriais. Gostaria MUITO de estar enganado.

Este malware militar é bancado por profissionais top, um financiamento generoso, e tem acesso a poderosas fontes técnicas e materiais. Sem isso, como é que alguém conseguiria personalizar o Stuxnet para atacar os reatores iranianos? Agora temos a chave de ouro, os certificados digitais, que são atualmente a garantia de confiança na Internet (outro alerta, já agora). Sobre as armas cibernéticas que já estão preparadas e prontas para serem utilizadas, só podemos fazer suposições, mas o futuro não parece nada promissor. Toda essa área foge ao controle da sociedade – é quase uma anarquia, onde todo mundo faz o que quer. Como mostra o Stuxnet, a comparação do míssil continua fazendo sentido – o malware pode causar o mesmo dano que uma arma militar convencional.

No entanto, há uma diferença.

Todas as armas – especialmente as armas de destruição massiva, juntamente com a tecnologia nuclear em geral – são mais ou menos controláveis, pelo menos em teoria. As Nações Unidas têm a sua Agência Internacional de Energia Atômica, há um sistema internacional de acordos de não-proliferação e o Conselho de Segurança da ONU reage de forma severa às tentativas de alguns países de se juntarem ao “clube nuclear” (como descobriu o Irã). É claro que a política, os subterfúgios e os padrões ambíguos desempenham aqui um papel importante – mas isso não tem nada a ver com a ideia que estou apresentando aqui.

E essa ideia é:

Tendo em conta o fato de que a paz e a estabilidade mundial dependem da Internet, é necessário criar uma organização internacional que controle as armas cibernéticas. Uma espécie de Agência Internacional de Energia Atômica, mas dedicada ao espaço cibernético. Idealmente, esta agência replicaria as estruturas de segurança nuclear que já temos e as aplicaria ao ciberespaço. Em particular, deveríamos considerar o uso de ciberarmas um ato de agressão internacional e colocá-lo no mesmo nível do ciberterrorismo.

Idealmente, a forma correta de fazer isto seria proclamar a Internet uma zona desmilitarizada – uma espécie de ciber Antártida. Não sei se esse tipo de desarmamento seria possível. Já perdemos a oportunidade, já foram feitos investimentos, as armas já foram produzidas e a paranóia já está aí. Mas os países têm que, pelo menos, chegar a um acordo quanto às regras e mecanismos de controle no que diz respeito às armas cibernéticas.

Sei que implementar esta ideia não é nada fácil. A sociedade ainda encara os computadores e a Internet como uma realidade virtual, brinquedos que não têm relação com a vida real. Que erro crasso! A Internet faz parte da realidade do dia a dia! E já salientei as consequências que esta atitude benevolente pode trazer. Este tema já foi discutido durante vários anos nos círculos dos profissionais de segurança. Eu sou apenas o primeiro a torná-lo público.

E, por favor, lembrem-se da primeira e mais importante regra de segurança:

— Não disparem sobre o mensageiro! Por favor! —

No comments yet... Be the first to leave a reply!

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: